Hej @Analogist, wir haben bislang noch nie gehört, dass die Vakuumverpackung geöffnet worden ist. Dass der Zoll den Inhalt von Paketen kontrolliert und mindestens grob abschätzt, ob der deklarierte Warenwert (und damit die Importzölle) korrekt sind, kommt leider ab und zu vor. Ist ja auch deren Auftrag, ob man das nun gut findet oder nicht.
Grundsätzlich ist das Threat Model der BitBox so solide, dass kein Grund zur Sorge besteht:
-
Die BitBox ist nicht initialisiert und führt ausschliesslich von uns signierte Firmware aus. Es kann keine andere Software vorinstalliert werden.
-
Die BitBoxApp überprüft mittels „attestation check“, ob es sich um eine echte BitBox02 handelt. Das ist ein kryptographisches Challenge/Response-Verfahren gegen den Secure Chip, was nur echte BitBoxen korrekt beantworten können.
-
Theoretisch könnte ein zusätzlicher Chip als „side channel attack“ eingelötet werden, z.B. eine kleine Antenne. Das müsste aber rein physisch funktionieren, denn die Software ist ja open-source und von uns signiert und kann keine Hintertürchen bedienen. Als Schutz dazu ist die BitBox innerlich mit „military-grade“ Epoxy verklebt, so dass sie beim Öffnen physisch zerstört wird.
Mehr zu all den potentiellen Angriffsvektoren beschreiben wir in unserem Threat Model:
Lange Rede, kurzer Sinn: grundsätzlich besteht kein Grund zur Sorge, selbst wenn der Beutel geöffnet sein sollte. Natürlich gibt es keine 100%ige Sicherheit, die Risikoabwägung bleibt am Ende Dir überlassen.